一年一度的429首都網(wǎng)絡(luò)安全日又來了。北京展覽館人山人海，懂不懂安全的都要來湊個熱鬧。

所謂外行看熱鬧內(nèi)行看門道，雷鋒網(wǎng)宅客頻道也在現(xiàn)場轉(zhuǎn)了轉(zhuǎn)，聽了一波大佬演講，在此整理出幾個給不能到現(xiàn)場的各位瞧一瞧。

第三代“查行為”體系

說到美劇疑犯追蹤，劇粉一定知道劇中主角其實不是人，而是“The Machine”。

一切的槍林彈雨，都是為了這個“機(jī)器寶寶”。

“The Machine”的制造，源于情報組織對恐怖活動信息偵測的要求，這個項目隸屬于國防部，但又有著獨(dú)立權(quán)限以及灰色預(yù)算，項目代號為“北極光”。北極光項目中的人工智能系統(tǒng)有兩套，其中一套就是“機(jī)器寶寶”，其憑借超強(qiáng)的計算能力，入侵網(wǎng)絡(luò)系統(tǒng)搜集情報，計算恐怖活動、犯罪行為的發(fā)生幾率。

當(dāng)然，藝術(shù)源于生活并高于生活，這里要聊的是另一套智能網(wǎng)絡(luò)安全防御體系。

如果說第一代安全體系是“查黑”，主要基于病毒庫來進(jìn)行查殺，只要不在“黑名單”內(nèi)都被認(rèn)為是合法的，第二代則是“查白”，也就是利用“白名單”機(jī)制，以云技術(shù)收集國內(nèi)最全的白名單，覆蓋99%以上網(wǎng)民常用的應(yīng)用軟件。

“但道高一丈魔高一尺，這種‘非黑即白、非白即黑’的網(wǎng)絡(luò)安全體系已經(jīng)OUT，非黑即白很難在第一時間發(fā)現(xiàn)新的木馬和病毒，存在滯后查殺的缺陷，另外也存在‘混白’的問題，這些都會給網(wǎng)絡(luò)帶來安全隱患?！?60企業(yè)安全集團(tuán)董事長齊向東提到。

但所有的黑客組織在攻擊前都會有行為特性。好比一個流氓團(tuán)伙聚眾滋事前要分三步，首先需要聚集，然后抄起武器，最后開始各種挑釁行為。

基于此，第三代“查行為”網(wǎng)絡(luò)安全體系出世了。這個體系以盡可能全面地采集大數(shù)據(jù)為基礎(chǔ)，以機(jī)器學(xué)習(xí)、人工智能的行為分析為核心，以威脅情報和應(yīng)急響應(yīng)為關(guān)鍵。具體來說，“查行為”主要分三方面的內(nèi)容：第一，通過威脅情報，確定攻擊行為；第二，通過機(jī)器學(xué)習(xí)，建立行為基線；第三，對超出基線的可疑行為，進(jìn)行告警。

舉個栗子，如果你獲取了某人相當(dāng)長時間的行為數(shù)據(jù)并以此作出基線，當(dāng)此人開始或者準(zhǔn)備干壞事時就會超出自己的行為基線。也就是可以通過用戶行為甄別其行為屬于網(wǎng)絡(luò)攻擊或正常網(wǎng)絡(luò)訪問行為。

另外，對聽到收集數(shù)據(jù)就風(fēng)聲鶴唳的吃瓜群眾來說，老齊坦言這套系統(tǒng)和個人關(guān)系不大，畢竟主要是為了解決企業(yè)防護(hù)問題。

假如中石油要通過查行為體系解決安全問題，他本身有300個提供對外服務(wù)的網(wǎng)站，需要時刻接收用戶訪問行為。其中一個用戶平均一周加一次油，三天訪問一次網(wǎng)站查詢余額，若突然某天該用戶訪問網(wǎng)站量高達(dá)1000多次。此時其行為超出了之前的基線，就需要采取措施，阻止其繼續(xù)訪問加油站，同時對其IP地址和用戶進(jìn)行追蹤溯源，看看他到底是被人利用還是自己變鬼。

也就是說，這是一個與企業(yè)資產(chǎn)信息有關(guān)，與用戶個人信息無關(guān)的系統(tǒng)。

區(qū)塊鏈＋車輛管控

“區(qū)塊鏈在車輛管控領(lǐng)域的應(yīng)用探索”，看到這個議題和編輯一樣喵喵喵問號臉的有沒有？雖然區(qū)塊鏈技術(shù)已經(jīng)火出了天際，但和車輛結(jié)合在一起的案例仍屬少見。

議題演講者是來自汽車后市場企業(yè)元征科技的區(qū)塊鏈負(fù)責(zé)人張擎，用張擎的話說，大家可能都在質(zhì)疑，一家修車公司也搞區(qū)塊鏈？是蹭熱點(diǎn)？搞傳銷？還是想集資？

攤手，都不是。

作為一家搞汽車診斷、檢測、養(yǎng)護(hù)產(chǎn)品研發(fā)、生產(chǎn)和銷售的企業(yè)，最不缺的是什么？數(shù)據(jù)，手里攥著3億份車輛檢測報告，可惜，這些數(shù)據(jù)的商業(yè)價值很少能被挖掘。

懷揣著聚寶盆卻不知道怎么變現(xiàn)，實在憂桑。有沒有能幫助海量數(shù)據(jù)變現(xiàn)的外掛？有，區(qū)塊鏈。

區(qū)塊鏈作為一種交互分布式賬本技術(shù)，利用其去中心化、數(shù)字存證、可追溯和智能合約等特征，可對汽車行業(yè)的海量數(shù)據(jù)實現(xiàn)權(quán)益管理、將汽車的檢測維修數(shù)據(jù)轉(zhuǎn)化為有價值的數(shù)據(jù)資產(chǎn)。

另外，目前的用戶數(shù)據(jù)基本都掌握在行業(yè)寡頭中手上，真正的數(shù)據(jù)所有者并不能從數(shù)據(jù)使用中獲取。如果利用區(qū)塊鏈，是否能使得數(shù)據(jù)真正回歸用戶本人，用戶擁有唯一版權(quán)和收益權(quán)，并可以以一種安全可控透明的方式來分享自己的數(shù)據(jù)？這似乎值得拭目以待。

除了和車輛掛鉤，區(qū)塊鏈還和健康管理掛上了鉤，來自北京第九臨床醫(yī)院內(nèi)科主任彭建軍以此為議題進(jìn)行了演講，可惜時間倉促演講并未完成，有興趣的童鞋可以自行查找資料學(xué)習(xí)。

一場全是CSO的論壇

在進(jìn)到6號展館之前雷鋒網(wǎng)編輯看到的議程非常高大上，一票企業(yè)CSO輪番上陣，紛紛吐槽行業(yè)現(xiàn)狀。但其中一個議題畫風(fēng)清奇，是教你如何做好CSO。演講者是來自平安科技的陳建，議題名為“CSO企業(yè)生存之道”。

把大象裝進(jìn)冰箱分三步，做好CSO也是三步。

第一，CSO要做的首先是了解企業(yè)環(huán)境，其中包括了解企業(yè)的商業(yè)模式，關(guān)注企業(yè)主營業(yè)務(wù)和發(fā)展戰(zhàn)略；了解企業(yè)的治理模式，包含組織架構(gòu)和IT治理模式；另外還要了解信息安全現(xiàn)狀，做信息安全的差距分析。

其二，一般說來企業(yè)做安全存在幾方面驅(qū)動因素：合規(guī)驅(qū)動（法律要求，合同約束），業(yè)務(wù)驅(qū)動（業(yè)務(wù)倒逼，事件驅(qū)動），風(fēng)險驅(qū)動（全面感知，業(yè)務(wù)價值）。

對于創(chuàng)業(yè)公司的CSO來說，安全業(yè)務(wù)更偏向基礎(chǔ)工作，主要為合規(guī)驅(qū)動，滿足條條框框就可以；對于一些大型企業(yè)的CSO來說，需要強(qiáng)調(diào)形成一套信息安全體系，所以關(guān)注業(yè)務(wù)驅(qū)動；而對特大型互聯(lián)網(wǎng)企業(yè)，對信息安全的重視遠(yuǎn)超前兩者，安全是業(yè)務(wù)的支柱，其為風(fēng)險驅(qū)動更加合適，也容易形成信息安全方面的企業(yè)文化。（下圖為不同企業(yè)規(guī)模信息安全關(guān)注方向）

其三，有句行話是：做好CSO，七分管理，三分技術(shù)。所謂的管理，管的正是期望，其中不僅包括老板的期望，也有同僚的想法，員工的抱怨，下屬的訴求。

總之信息安全一定要為業(yè)務(wù)服務(wù)，CSO要理解業(yè)務(wù)，理解業(yè)務(wù)，理解業(yè)務(wù)！重要的事情說三遍，還要學(xué)會雙贏思維，換位思考，把握底線。

最后，作為企業(yè)信息安全的負(fù)責(zé)人，需要快速產(chǎn)出結(jié)果，判斷事件優(yōu)先級，并做到安全可視化?？傊ぶ淮婷珜⒀筛?，CSO必是守護(hù)企業(yè)安全的第一大將。

無人機(jī)安全

前兩天雷鋒網(wǎng)寫了一篇黑客小哥操控智能樓宇的文章，用到的載體就是無人機(jī)。（沒看的點(diǎn)這里趕快補(bǔ)，還等什么）雖然這里的無人機(jī)顯得乖巧可愛，聽從指揮，但無人機(jī)與人工智能和網(wǎng)絡(luò)技術(shù)結(jié)合在一起，可能是一個殺人武器。

2016年10月2日，極端組織在摩蘇爾用攜帶著“某種爆炸物”的無人機(jī)襲擊了庫爾德人的陣地，兩名士兵死亡，兩名法國軍事人員受傷；

2017年2月，伊拉克恐怖分子用無人機(jī)丟下的炸彈炸翻了一輛伊拉克政府軍的裝甲悍馬；

2017年9月27日烏克蘭文尼察州一處軍事基地因為人機(jī)碰撞發(fā)生大型爆炸；

2018年1月8日，俄羅斯國防部發(fā)布消息稱，俄駐敘利亞基地首次遭大規(guī)模無人機(jī)攻擊，1月6日俄在敘利亞境內(nèi)的防空系統(tǒng)發(fā)現(xiàn)10架無人機(jī)飛近俄軍駐敘的赫梅明空軍基地，同時發(fā)現(xiàn)3架無人機(jī)飛近了俄在敘的塔爾圖斯海軍基地……

你沒看錯，越來越多的無人機(jī)有了攻擊性。各國人馬也煩透了這些小東西帶來的困擾，紛紛舉起了砍刀。

比如米國聯(lián)邦航空管理局頒布了14CFR Part 107《輕型無人機(jī)系統(tǒng)》，規(guī)定了25kg以內(nèi)輕型無人機(jī)在國家空域系統(tǒng)的運(yùn)行要求；英國則在《英國領(lǐng)空無人機(jī)操作指南》要求無人機(jī)飛行不能超過120米，更不得在建筑區(qū)違規(guī)飛行，最高罰款2500英鎊；法國通過一項民用航空法規(guī)規(guī)定無人機(jī)只能在距離地面50-150米之間飛行，非法使用無人機(jī)將判處5年有期徒刑，罰款75000歐元；中國各地政府也陸續(xù)發(fā)布了無人機(jī)使用管理方法。

但實際上，各國無人機(jī)的安全管理普遍存在一些共性：

缺乏系統(tǒng)性的低空飛行器管理法律法規(guī)體系；

對低空飛行器監(jiān)管與反制技術(shù)研究基礎(chǔ)薄弱，技術(shù)積累少；

低空飛行器運(yùn)營使用環(huán)節(jié)監(jiān)管力度不足；

偏重政策管理，缺乏系統(tǒng)性的監(jiān)管和保障技術(shù)手段。

總之就是沒法管，誰來管，怎么管完全不知道也不明確。 

來自加西亞無人機(jī)副總經(jīng)理周宏志提出了防—反—監(jiān)—管—用五位一體的低空安全信息網(wǎng)絡(luò)綜合解決方案，防即要地低空防御，比如凈空區(qū)外圍設(shè)置電子圍欄或者周邊布置定向打擊裝置等；反即一體化反制非法低空飛行器；監(jiān)即低空飛行器使用狀態(tài)監(jiān)視，需采集無人機(jī)所有者以及無人機(jī)飛行狀態(tài)數(shù)據(jù)，隨后對數(shù)據(jù)進(jìn)行加工處理形成數(shù)據(jù)庫；管即低空飛行器及使用者有效管理；用即對低空飛行器安全應(yīng)用平臺以及應(yīng)用需求資源整合。

具體來說，要建立航空器管理平臺，航空器運(yùn)行管理平臺（UOM），政府協(xié)作平臺以及信息服務(wù)平臺的聯(lián)動平臺。

在航空器管理平臺中采集無人機(jī)數(shù)據(jù)（UAS、位置、速度、航向、通信狀態(tài)信息）以及安全運(yùn)行環(huán)境數(shù)據(jù)（空域、地理信息、氣象、航情）后送至航空器運(yùn)行管理平臺（UOM），形成飛行動態(tài)數(shù)據(jù)庫。隨后可以將這些數(shù)據(jù)與政府協(xié)作平臺（軍方，民航，公安）進(jìn)行數(shù)據(jù)交換與共享，也可以在信息服務(wù)平臺上查詢信息。

綜上，無人機(jī)的監(jiān)管是一個綜合體系，涉及法律，法規(guī)，標(biāo)準(zhǔn)，技術(shù)等方面，而數(shù)據(jù)是其中可以利用的關(guān)鍵因素。

當(dāng)然，這些議題只不過是眾多議題中很小一部分，更有意思的展臺報道就在另一篇文章中，指路。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。